微软正在更改一项已存在数十年的 Windows 内核策略

微软已承诺解决用户对 Windows 11 的主要不满，并在今年提升该操作系统的性能。这并不令人意外，尤其是考虑到最近一份报告的发现，该报告指出，Windows 在企业领域在稳定性和可靠性方面表现不佳。现在，微软决定采取另一项措施来提升 Windows 11 的安全性和整体稳健性。

该公司宣布，将很快移除默认加载由旧版交叉签名根程序签名的内核驱动程序的能力。这是一个在 2000 年代初推出的已弃用程序，它允许在经过第三方合作伙伴审核后提供 Windows 受信任的代码签名证书。

微软已于 2021 年停止该程序，此后通过此过程签发的所有证书均已过期，但仍被内核信任，并在某些情况下继续存在。

不过，这种情况即将改变。从 2026 年 4 月开始，Windows 内核将仅接受通过其 Windows 硬件兼容性计划 (WHCP) 签名的驱动程序。然而，出于兼容性考虑，微软仍将维护一个明确的允许列表，该列表将允许内核加载通过交叉签名根程序审核的旧版但信誉良好的驱动程序。

这项新实施将适用于 Windows 11 24H2、25H2、26H1、Windows Server 2025 以及所有未来的 Windows 客户端和服务器版本。

不过，微软理解某些环境可能出于兼容性原因依赖旧版驱动程序。这就是为什么新的内核信任策略将最初以评估模式启动，该模式将在一段时间内监控和审核您的系统运行时间和启动次数。

同样，这家总部位于雷德蒙德的科技公司还将允许您配置“企业应用控制”（前身为 WDAC）策略，以覆盖默认的内核策略。这在组织希望加载为内部使用而构建的自定义驱动程序的场景中尤其有用。

微软指出，它将从 2026 年 4 月开始继续推出这项新的内核策略，但它强调将继续监控客户的反馈以完善体验。目前，其最新的内核信任策略是基于过去几年从 Windows 11 和 Windows Server 2025 设备收集的数十亿条遥测信号精心制定的。